Umsetzung des neuen Datenschutzrechts u.a. auf Internetseiten | Vermeidung von Abmahnungen

Ab dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (kurz: DSGVO) europaweit. Kfz-Betriebe, die die datenschutzrechtlichen Vorgaben noch nicht umgesetzt haben, sollten schnellstmöglich aktiv werden, um potentielle Rechtsnachteile zu vermeiden. Allen Unkenrufen zum Trotz sollten sich die Kfz-Betriebe bei der Umsetzung der neuen Datenschutzregelungen jedoch nicht beunruhigen lassen.

1. Umsetzung des neuen Datenschutzrechts

Zahlreiche Landesdatenschutzbehörden haben auf ihren Webseiten Checklisten veröffentlicht, an denen sich die Betriebe bei der Umsetzung des neuen Datenschutzrechts orientieren können. Exemplarisch verweisen wir nochmals auf die Checkliste des LDI NRW:

Für den verbleibenden Zeitraum bis zum 25. Mai 2018 sollten die Kfz-Betriebe insbesondere darauf achten, dass sie im öffentlichen Erscheinungsbild datenschutzkonform auftreten. Hierzu zählen vor allem folgende Pflichten:

a) Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten auf der Firmenwebseite u.a.

Die Kontaktdaten des Datenschutzbeauftragten, sofern ein solcher erforderlich ist, müssen veröffentlicht werden, z.B. auf der Firmenwebseite, auf mobile.de etc., und der zuständigen Landesdatenschutzbehörde gemeldet werden.

Die Veröffentlichung der Kontaktdaten sollte im Impressum des jeweiligen Internetauftritts erfolgen, d.h. sämtliche Impressen der Kfz-Betriebe sind um diese Daten zu ergänzen. Der Name des Datenschutzbeauftragten muss nach derzeitigem Stand nicht angegeben werden.

Es reichen die bloßen Kontaktdaten, d.h. postalische Anschrift, Telefon, Mail (z.B. datenschutzbeauftragter@autohaus-mustermann.de).

Wie die fristgerechte Meldung des Datenschutzbeauftragten erfolgen kann, sollten Kfz-Betriebe auf den Internetseiten der für sie zuständigen Landesdatenschutzbehörden prüfen (die Internetadresse des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg lautet: www.baden-wuerttemberg.datenschutz.de). Regelmäßig erfolgt die Meldung über Online-Eingabemasken.

b) Erfüllung der Informationspflichten auf den Webseiten der Kfz-Betriebe

Die Datenschutzhinweise der Kfz-Betriebe, z.B. auf der Firmenwebseite, müssen um die Informationspflichten gemäß Artikel 13 DSGVO ergänzt werden. Kfz-Betriebe sollten daher genau prüfen, ob ihre Datenschutzbestimmungen die Inhalte gemäß Artikel 13 DSGVO enthalten.

Im Kontext der Datenschutzhinweise auf Webseiten haben die Ergebnisse der jüngst stattgefundenen 95. Deutschen Datenschutzkonferenz (Konferenz der staatlichen Datenschutzaufsichtsbehörden in Deutschland, kurz: DSK) für erheblichen Unmut und Kritik gesorgt. Hintergrund ist ein Positionspapier mit dem Titel „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018

Die DSK spricht sich dafür aus, dass beim Einsatz von Tracking-Mechanismen auf Internetseiten, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen, eine vorherige Einwilligung notwendig ist. Das bedeutet, dass eine informierte Einwilligung i.S.d. DSGVO in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden. Neben Cookies wären davon auch Tracker, wie z.B. Google Analytics, betroffen, was deren praktische Anwendung natürlich erheblich erschwert. Trotz erheblicher Kritik in der Literatur an der Positionierung der DSK wird bis zu einer Klärung der Rechtslage empfohlen, den Einsatz von Cookies und Tracking-Tools, wie z.B. Google Analytics, nur mit einer vorherigen Einwilligung einzusetzen. Weitere Hinweise und Informationen zum Umgang mit diesen Tools können folgenden Aufsätzen entnommen werden: www.diercks-digital-recht.de und www.rechtzweinull.de

Wichtig ist in diesem Zusammenhang noch Folgendes:

Aufgrund der erheblichen Rechtsunsicherheit gestaltet sich die Erstellung von Muster-Datenschutzhinweisen für Webseiten als ausgesprochen schwierig. In der Anlage 1 hat der ZDK dennoch versucht, ein Muster zu erstellen, welches als Orientierung bei der Formulierung von Datenschutzhinweisen auf Webseiten dienen kann. Keinesfalls kann es jedoch ungeprüft übernommen werden. Vielmehr bedarf es für jeden Einzelfall einer individuellen Anpassung. Der ZDH hat ebenfalls Beispielsformulierungen zur Ergänzung von bestehenden Datenschutzhinweisen veröffentlicht, die wir Ihnen als Anlage 2 ergänzend übersenden.

c) Erfüllung der Informationspflichten auf Internetplattformen, Börsen etc.

Zur Erfüllung der Informationspflichten auf Plattformen, wie z.B. autoscout24.de, auf denen die Nutzer mit dem Kfz-Betrieb, z.B. mittels Kontaktformular oder der angegebenen E-Mail Adresse, in direkten Kontakt treten können, d.h. eine Direkterhebung von personenbezogenen Daten durch den Kfz-Betrieb erfolgt, kann das anliegende Muster „Datenschutzhinweise gemäß Artikel 13 Datenschutzgrundverordnung (Anlage 3) verwendet werden.

Anders zu beurteilen sind solche Plattformen, Börsen etc., die die personenbezogenen Daten selbst erheben, verarbeiten und nutzen und die Kontaktanfrage sodann an den Kfz-Betrieb weiterleiten (siehe z.B. heycar, Datenschutzbestimmungen). In diesen Fällen ist das Muster zur Erfüllung der Informationspflichten gemäß Artikel 14 DSGVO (Anlage 4) zu verwenden. Diese Informationen sind der betroffenen Person zum Zeitpunkt der ersten Mitteilung an sie zu erteilen, d.h. regelmäßig zusammen mit der Beantwortung der Kontaktanfrage, in sonstigen Fällen spätestens innerhalb eines Monats.

d) Erfüllung der Informationspflichten im Tagesgeschäft

Auch abseits des Internets sind die Informationspflichten regelmäßig zu erfüllen, wenn personenbezogene Daten erstmals direkt bei der betroffenen Person erhoben werden oder aus anderen Quellen stammen.

Zur Erfüllung dieser Pflicht kann im Falle einer Direkterhebung grundsätzlich die neue ZDK-Einwilligungserklärung verwendet werden. Bitte beachten Sie, dass die ZDK-Einwilligungserklärung vorsorglich um die Rechtsgrundlage für eine Einwilligung sowie Versicherungen als zusätzliche Empfänger erweitert wurde (siehe Anlage 5; zur besseren Nachvollziehbarkeit sind die Ergänzungen gelb markiert).

Achtung: Die Muster-ZDK-Einwilligungserklärung wird derzeit von den Landesdatenschutzbehörden auf unseren Wunsch hin überprüft. Es ist daher nicht auszuschließen, dass es nach Abschluss der Prüfungen ggf. noch Änderungen des Musters geben wird. Wann die Prüfungen abgeschlossen sein werden, ist derzeit nicht zu beurteilen.

Für den Fall, dass die Daten nicht direkt beim Kunden erhoben werden, wie z.B. bei einer Leadbearbeitung von über den Hersteller/Importeur zugekauften Daten, kann das anliegende Muster zur Erfüllung der Informationspflichten gemäß Artikel 14 DSGVO (Anlage 4) verwendet werden. Zu den Fristen der Informationserteilung siehe vorangegangene Ziffer c).

Die unter Ziffer 1 genannten Informationen stellen die derzeitigen Erkenntnisse des ZDK dar. Sie erheben keinen Anspruch auf Vollständigkeit und inhaltliche Richtigkeit. Ob die Aufsichtsbehörden und Gerichte diese Auffassungen teilen, vermögen wir aufgrund der erheblichen Rechtsunsicherheiten nicht zu beurteilen.

2. Diverses

Je näher der 25. Mai 2018 rückt, desto mehr Informationen und Unterlagen werden von den Behörden veröffentlicht, die bei der Umsetzung des neuen Datenschutzrechts (vermeintlich) hilfreich sein sollen. Ob die Flut an Materialien und gesetzlichen Vorgaben für kleine und mittelständische Unternehmen überhaupt noch praxisgerecht verarbeitet werden kann, muss indes mehr als bezweifelt werden. Zutreffend warnt Bundeskanzlerin Angela Merkel mit Blick auf die Wirtschaft daher auch vor einer Überforderung, siehe auch www.handelsblatt.com.

Beschwichtigend äußerte sich jüngst auch Frau Vera Jourova, EU-Kommissarin für Justiz, im Hinblick auf die Umsetzung der DSGVO durch Handwerksbetriebe, siehe: www.handwerksblatt.de.

Derartige politische Aussagen helfen den Kfz-Betrieben bei der Umsetzung der Datenschutzvorschriften zwar nicht weiter. Es verbleibt jedoch zu hoffen, dass sie sich auf die Anwendungspraxis der datenschutzrechtlichen Aufsichtsbehörden nachdrücklich auswirken werden. Schließlich lautet es in Erwägungsgrund 13 der DSGVO:

„Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“

Unser Zentralverband setzt sich ebenfalls für eine handelsorientierte und risikoangemessene Auslegung des neuen Datenschutzrechts ein und wird seine Position in dem Gespräch mit Vertretern des Bundesdatenschutzbeauftragten und zweier Landesdatenschutzbehörden am 28. Mai 2018 Nachdruck verleihen.

Über die weitere Entwicklung des Datenschutzrechts werden wir Sie weiter auf dem Laufenden halten.

 

Letzte Änderung: 18. Mai 2018

 

 
Home » Innung aktuell » Umsetzung des neuen Datenschutzrechts
Durch das Anklicken des Buttons "Ich stimme zu" erklären Sie sich mit der Verwendung von Cookies und der Datenverarbeitung durch die Webanalyse Piwik einverstanden. Detaillierte Informationen erhalten Sie unter Datenschutz.
Ich stimme zu